mossox
Goto Top

Mikrotik DoT bzw. DNS over HTTPS

Guten Abend,

mich interessiert Eure Meinung zu Verschlüsselung der DNS-Anfragen (Sinn/Unsinn, Erfahrungen, Probleme, Nutzen).

Und ob es jemand erfolgreich auf RouterOS umgesetzt hat.
So wie ich es sehe, wir DoT noch nicht unterstützt; statt dessen DNS over HTTPS.

Ich freue mich auf eine hoffentlich lebhafte Diskussion face-smile.

Content-Key: 1685836217

Url: https://administrator.de/contentid/1685836217

Ausgedruckt am: 26.09.2022 um 10:09 Uhr

Mitglied: 149569
Lösung 149569 03.01.2022 aktualisiert um 17:50:04 Uhr
Goto Top
DoH auf Mikrotik-Devices ist nach meiner Erfahrung noch in den Kinderschuhen, damit kommt es dort immer wieder mal zu einem Memory-Leak (also Speicher füllt sich bis er irgendwann voll ist). Lässt sich im Mikrotik Forum auch diesbezüglich immer wieder nachlesen.
Mitglied: EliteHacker
Lösung EliteHacker 03.01.2022 aktualisiert um 19:58:05 Uhr
Goto Top
Ich halte verschlüsseltes DNS für absoluten Quatsch. Keine Ahnung wie man auf sowas kommt. Das hat praktisch nur Nachteile.
Der Otto wird halt die Alte Leier aus dem Keller holen: "Verschlüsselung macht es sicherer!" Blödsinn. Aber Verschlüsselung... das Buzzword klingt halt auf den ersten Blick gut.

Verschlüsseltes DNS führt zu einer zentralisierung des Internets.

Ein Traum für Nachrichtendienste.

Jetzt können zwar keine Angreifer mehr sehen, was in meinen DNS-Anfragen steht, aber nun hat eben ein anderer grosser Tech-Konzern Zugriff drauf, toll! Es gibt auch noch zwei, drei andere Möglichkeiten, wie man rausfinden kann, auf welcher Website du warst. Davor schützt dich verschlüsseltes DNS also nicht. Meiner Meinung nach vermittelt es ein falsches Gefühl von Sicherheit.

DNS wurde dafür konzipiert dezentral zu sein, nicht zentralisiert.

Nutzt lieber DNSSEC, um die Integrität und Authentizität der Einträge zu gewährleisten.
Übrigens: Wenn man DNSSEC nicht validiert, ist es nutzlos.
Mitglied: mossox
mossox 03.01.2022 um 20:44:21 Uhr
Goto Top
Gilt das denn auch wenn man einen Provider DNS benutzt? Die Telekom bietet heuer die Möglichkeit, deren DNS via DoT zu benutzen.

Ich dachte nicht daran, einen mehr oder weniger öffentlichen Server à la Cloudfare oder Google zu benutzen.

Ich denke eher an den Aspekt der Man in the Middle Attacke bzw. manipulierte DNS Einträge zu vermeiden.
Mitglied: aqui
Lösung aqui 03.01.2022 um 22:32:42 Uhr
Goto Top
Mitglied: EliteHacker
Lösung EliteHacker 04.01.2022 aktualisiert um 07:59:15 Uhr
Goto Top
Gilt das denn auch wenn man einen Provider DNS benutzt?

Wenn jeder Internetnutzer den DoH-Resolver seines ISPs verwenden würde, dann kaum.

Es ist auf jeden Fall besser als Clownflare oder Goolag zu verwenden. Diese bilden nämlich einen sogenannten SPOF (Single Point of Failure). 25% des Webs ist bereits ein SPOF, da viele Admins Clownflare oder ähnliches einsetzen, weil sie selbst nicht in der Lage sind, ihre Server abzusichern und dafür teures Schlangenöl kaufen. Ein verzweifelter Versuch seine eigene Inkompetenz zu vertuschen. Die meinen sie wären sicher und dabei ist Clownflare der grösste MITM im Web.

Ein SPOF gefährdet die Verfügbarkeit -> Im Falle eines Vorfalls kommt es wie es kommen muss: Denial of Service.
Und jetzt kommen ganze scharen und wollen Clownflare als DNS nutzen. Für die Zukunft unseres Internes sehe ich so schwarz. Wir sollten uns alle mal Gedanken darüber machen, wie es weiter geht. Eine äusserst gefährliche Entwicklung wie ich finde. Sagt nicht, es hätte euch niemand gewarnt.

Ich dachte nicht daran, einen mehr oder weniger öffentlichen Server à la Cloudfare oder Google zu benutzen.

Sehr gut. Viele Menschen fallen auf den Honigtopf rein. Ich gratuliere dir!

Ich denke eher an den Aspekt der Man in the Middle Attacke bzw. manipulierte DNS Einträge zu vermeiden.

Ich sehe da nur eine Verschiebung des Problems. Wie schützt denn der ISP sich vor MITM-Angriffen auf DNS? Die kochen auch nur mit Wasser. Wieso fürchtest du dich vor MITM-Angriffen auf DNS? Was stellst du dir vor, wenn bei dir jemand deine DNS-Anfragen mitmn würde?

An alle Admins: Aktiviert endlich mal DNSSEC und IPv6 für eure Domains, dann bräuchte man auch nicht solche halbfertigen Zwischenlösungen wie DoH.
Mitglied: aqui
aqui 06.01.2022 um 10:44:38 Uhr
Goto Top
Wenn's das denn war bitte dann nicht vergessen den Thread auch zu schliessen !
https://administrator.de/faq/32